sabato 12 dicembre 2020

Cappuccetto rosso e la scalata oltre la nuvola

(Come diventare un hacker)

C’era una volta il mondo reale…

Fra cento anni con questa premessa racconteremo una favola per fare andare a nanna i nostri bis-bis nipoti. Cominceremo parlando di una dolce bimbetta a cui la nonna regalò una cappa di velluto rosso che lei indossò per mettersi al computer prima di entrare nel cloud del cyber-domain. Cappuccetto rosso voleva diventare una hacker...

Come tutti quelli della sua razza, era una meticcia: metà macchina e metà nerd. Non aveva una vita sociale e faceva tutto da sola, capiva i numeri che scendevano dalla parte alta degli schermi, indossava sempre cappucci ed era nata sapendo tutto”.

Partendo da luoghi comuni e banalizzazioni, questa favola insegnerà ai nostri piccoli quei valori che li trasformerà in adulti responsabili.

Ma poi i bambini cresceranno e si porranno delle domande a cui dovremo essere pronti a rispondere in modo abbastanza semplice da essere compresi ma sufficientemente esaustivo da evitare approfondimenti imbarazzanti.

Ed allora il piccolo, con la lingua che si affaccerà dai buchi lasciati dai denti da latte chiederà: “Bis-Bis-nonno, cosa sono gli hacker?”

Sono quelli che utilizzano le proprie competenze informatiche per esplorare computer e reti di computer e per sperimentare come estenderne l'utilizzo. Alcuni sono cattivi e vengono chiamati cappelli neri, “black hat”, altri invece sono buoni e, ovviamente li chiameremo cappelli bianchi, ovvero “white hat”1. I primi sono dei truffatori, imbroglioni o ladri che violano i sistemi informatici a scopo malevolo. A volte si limitano a rubare dati, altre volte si arricchiscono a scapito dei conti correnti di ignari proprietari, altre volte ancora s’intromettono nei sistemi automatizzati a scopo di terrorismo. Quelli sono i più cattivi di tutti perché a volte incendiano le fabbriche ed inquinano fiumi. Altre volte fanno precipitare gli aerei2 o provocano sinistri tra le nostre automobili autonome3.

Dopo una breve sosta per un sorso d’acqua fresca, il nonno continua...

Bisognava correre ai ripari e, nelle prime due decadi del secolo scorso (nota: mi riferisco al XXI secolo, quello che va dal 2001 d.C. al 2100 d.C.), le aziende iniziarono a proteggersi. Vennero creati gruppi di risposta alle emergenze informatiche4 e li popolarono con le migliori professionalità: nacquero i “blue team” della cyber-security. Sono loro che usano i sistemi di monitoraggio e aiutano gli amministratori a mantenere aggiornate le misure di sicurezza di reti e sistemi5. Ogni attività strana o sospetta viene intercettata dai loro potenti strumenti6 che scansionano miliardi di pacchetti digitali e scovano ogni anomalia che rappresenta un indizio di un’infezione messa in opera dai black hat. Se c’è un incidente, i blue team sono i primi ad intervenire. Svolgono indagini per identificare l’attaccante e scoprono le falle che hanno permesso di assestare il colpo. Il cloud è un posto più sicuro quando loro sono a lavoro. Sono le guardie armate della rete”.

La realtà è che purtroppo, troppo spesso, ci si deve accontentare di chiudere la stalla quando i buoi sono già fuggiti. Sarebbe meglio prevenire ma, per farlo bisognerebbe esser capaci di prevedere.

E’ ovvio che per prevedere l’attacco bisogna padroneggiare le tecniche degli attaccanti. Ma chi può farlo? Gli informatici sono addestrati a far funzionare i loro sistemi, gli amministratori sono addestrati a proteggerli e la cyber-polizia è addestrata a difendere, indagare e reprimere. Nessuno di loro sa come attaccare.

Così, alla fine ci si rese conto che per battere i black hat servivano degli hacker che mettevano le loro tecniche al servizio dei buoni. Fu allora che comparvero i “cappelli bianchi”.

I white hat sono coloro che violano i sistemi informatici allo scopo di informare i proprietari delle vulnerabilità. Sono come dei ladri assunti dal proprietario della banca che, allo scopo di testare i sistemi di sicurezza, provano ad entrare nella cassaforte ed uscire con una refurtiva simulata. In questo modo chi ha il compito di tenere il muro solido studia le migliori tecniche di costruzione; il fabbro che costruisce la cassaforte la dota di una porta anti-sfondamento con una chiave robusta; la guardia all’ingresso si addestra a riconoscere i comportamenti sospetti; la polizia impara ad intervenire per interrompere il crimine prima che sia troppo tardi e il direttore adotta regole atte a minimizzare il rischio e a gestire la crisi. Fuori dalla metafora, i white hat verificano che i programmatori e gli amministratori di rete abbiano reso robusti i loro sistemi7, le chiavi ed i protocolli crittografici siano inattaccabili8, i blue team si addestrino a riconoscere attività malevole, i manager imparino a calcolare i rischi, allochino le risorse e sviluppino politiche aziendali idonee a gestire gli incidenti.

Quando i white hat diventano parte di un’organizzazione, si costituiscono in red team. Loro studiano e si documentano di continuo. Devono sempre stare un passo avanti a tutti perché nel cyber domain arrivare secondi equivale ad arrivare ultimi. Per questo, sviluppano procedure dinamiche e flessibili. Hanno una catena di comando e controllo cortissima per evitare che i loro segreti arrivino a chi non deve sapere.

Ma questo apre ad un grosso rischio. Giovenale si chiederebbe “Quis custodiet ipsos custodes?” ovvero “chi controlla i controllori”? La risposta sarebbe complessa ma ad un bambino la spieghiamo semplice9. Nessuno può farlo10. Quindi, il red team deve avere livelli di moralità indiscussa e godere della massima fiducia dei vertici.

Pur di rimandare ancora un po’ l’ora in cui si spegne la luce, i nostri nipotini, inevitabilmente ci faranno un’altra domanda:

Bis-bis-nonno, come si diventa un white hat?

Noi parleremo di una leggenda che narra di black hat che abbandonano il lato oscuro per tornare alla luce ma questo, forse, è stato possibile all’inizio. Oggi nessuno autorizza di buon grado il ladro-sedicente-pentito a forzare la propria serratura e, con la domanda del mercato, l’offerta ha iniziato ad organizzarsi per formare professionisti nel settore. Con questo spirito sono nati i corsi di Hacker Etico. Il problema è che queste certificazioni sono basate sulla conoscenza semantica. Un famoso meme recita: “ho messo bene 93 crocette su 100! Questo fa di me un Ethical Hacker!”. Mi spiace infrangere un così bel sogno ma no, purtroppo le cose sono più complicate di così.

Da quando la cyber-security ha raggiunto una maggiore maturità esistono corsi e certificazioni che portano ad imparare i rudimenti e valutano le competenze dei professionisti.

La certificazione più richiesta è quella data dalla Offensive Security che, al termine del corso dallo stampo meramente pratico11 sottopone ad un esame della durata di 24 ore. È una specie di gioco “ruba bandiera”. Si pratica in un ambiente virtuale appositamente preparato. In breve, si deve riuscire ad aggirare le misure di sicurezza di alcuni computer remoti e leggere la stringa segreta di codice. È un esame difficile in cui si dimostrano competenze tecniche e resilienza alla fatica. Si corre contro il tempo. Però, il corso dà soltanto i rudimenti e poi, da lì in avanti si deve sbattere la testa e trovare la soluzione degli enigmi. Il loro motto è “try harder” ovvero “impegnati di più”. La filosofia è che in internet c’è tutto, bisogna solo saper trovare la soluzione al problema12. Questo è l’approccio “fare per capire”.

Da un’idea completamente opposta, “capire per fare”, nascono i corsi della SANS (certificazioni GIAC) e della eLearnSecurity. Ma le similitudini tra queste ultime due aziende finiscono qui. I corsi della SANS13 sono più tradizionali. Si strutturano in due fasi, una frontale in presenza ed una basata su manuali. L’eLearnSecurity, invece, è solo online. Prima s’impara la teoria tramite migliaia di lastrine contenenti un paio di concetti ciascuna, poi si guardano i video di chi opera con gli strumenti descritti ed infine si svolgono i laboratori pratici. In caso di difficoltà ci sono i forum interni per cercare o chiedere risposte.

Così facendo si costruisce un bagaglio culturale che si traduce in un metodo di lavoro. È vero che su internet c’è tutto ma c’è anche il contrario di tutto e se non si conoscono i migliori strumenti e le migliori pratiche chiunque si può perdere nella nuvola.

Nel suo intento di accompagnare i discenti nelle loro scelte, la eLearnSecurity consiglia dei Training Paths, ovvero dei percorsi formativi che consentono ai professionisti della cyber-security di raggiungere una certa maturità. I percorsi proposti vanno dalla difesa aziendale e la risposta agli incidenti (Blue team), al Network e Web Application Pentester14 (Red Team).

Essendo Cappuccetto innamorata del colore “rosso”, decise che il primo corso che avrebbe frequentato sarebbe stato il Penetration Testing Student. Dopo aver letto e riletto tutto il materiale aveva deciso di acquistare i laboratori e l’esame per testare e certificare le competenze acquisite”.

Non è un corso facile ma può essere seguito e superato da chiunque abbia voglia di impegnarsi per qualche mese, guardare video e tutorial, provare laboratori didattici. L’esame si svolge in un ambiente realistico e dura tre giorni, è elementare ma non scontato, impegnativo ma non frustrante. Si va di corsa ma senza fretta. Bisogna trovare il modo di violare un server web configurato male e sfruttare questa “porta” per accedere all’area privata. Una volta dentro al perimetro, trovarvi le vulnerabilità ed estrapolare dati sensibili.

Lei era stata una studentessa diligente e, grazie ai tanti appunti presi, la conoscenza della teoria e la competenza data dalle prove nei laboratori, Cappuccetto Rosso aveva ottenuto la prima certificazione prestigiosa: lei era diventata un eJPT, ovvero un “eLearnSecurity Junior Penetration Tester”.

Essendo che il mondo del lavoro della cyber-security è più affamato del lupo, dopo pochi giorni aveva iniziato a ricevere offerte ed aveva trovato un lavoro. Aveva sperimentato le attività di OSINT15, si era sentita un’agente del controspionaggio16, aveva trovato informazioni sensibili che, senza l’autorizzazione dei propri clienti, erano state sottratte. Aveva testato sistemi e reti individuando falle e vulnerabilità. Le aveva segnalate ai colleghi del blue team i quali avevano preso provvedimenti per rendere la loro fetta di mondo virtuale più robusta. Con l’esperienza maturata da giovane hacker del Red Team (e tanta voglia di mettersi in gioco), era pronta per iniziare nuove sfide ed intraprendere il processo eCPPT e diventare una Professional Penetration Tester Certificato. Lì avrebbe imparato nuove tecniche e raggiunto nuovi traguardi che le permetteranno di acquisire, un giorno, la certificazione da Penetration Tester eXtreme17.

Poi un giorno Cappuccetto Rosso si accorse di essere cresciuta, sposò un hacker pentito ed assieme ebbero tanti figli… e tutti vissero felici e contenti.

Ora è tardi però, dunque a dormire caro nipotino mio...


Fabrizio Colalongo


1 Questa distinzione è molto comune ma è considerata superficiale dagli operatori del settore.

2 Nessun incidente di questo tipo si è ancora verificato.

3 Molti organi d’informazione già da anni danno notizie in tal senso.

4 Computer Emergency Response Team.

5 Si tratta di una semplificazione, i compiti dei Blue Team sono innumerevoli.

6 Ad esempio i SIEM: Security Information And Event Management: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.

7 Fase di hardening: idealmente il codice di programmazione dovrebbe essere privo di vulnerabilità (es. buffer overflow) e i sistemi di rete devono prevedere strumenti di protezione (es. firewall, policy, ecc.). Purtroppo, per ragioni di economicità e funzionalità una certa dose di rischio dev’essere sempre accettata.

8 La crittografia è una branca piuttosto complessa della matematica teorica. La sicurezza dipende da molti fattori eterogenei. La segretezza perfetta esiste ma è inapplicabile in un contesto reale pertanto dev’essere accettata una certa dose di rischio che i matematici sanno calcolare. Sviluppare i propri codici crittografici è pericoloso ma piuttosto diffuso tra i crittografi in erba, gli hacker sanno sfruttare queste falle. Per approfondimenti si rimanda a “Jonathan Katz, Yehuda Lindell - Introduction to Modern Cryptography_ Principles and Protocols-Chapman and Hall”.

9 La scienza del diritto applicata all’informatica e specializzata in cyber.

10 Anche qui si fa una semplificazione, il red team agisce in forza di un contratto molto preciso che definisce in maniera puntuale i limiti. L’eccedere tali limiti può comportare conseguenze civili e pesanti sanzioni penali.

11 PWK - Penetration testing With Kali Linux.

12 È stata presa da esempio la prima delle certificazioni della Offensive Security, ovvero la OSCP (Offensive Security Certificated Professional). L’offerta di questa prestigiosa azienda si arricchisce di altri corsi ancora più pregiati e difficili tutti orientati alla formazione di stampo offensive, ovvero red team.

13 La SANS offre corsi prestigiosissimi, ma dal costo molto elevato, in ogni campo della cyber-security.

14 Breve di PENetration TESTER.

15 Open Source INTelligence.

16 Sull’argomento si rimanda ad un mio precedente articolo: “mi chiamo security, cyber-security. Google Hacking e Shodan: l'intelligence che non ti aspetti”.

17 Le seguenti precisazioni sono d’obbligo:

  • Nessuna certificazione prova di per sé l’abilità dell’operatore di cyber-security, il percorso del penetration tester è principalmente basato sull’esperienza sul campo;

  • Esistono percorsi di formazione altrettanto validi rispetto a quelli descritti; il racconto è basato sulla esperienza personale dell’autore e non ha alcun valore scientifico;

  • Il fine dell’articolo non è pubblicitario e non c’è alcun legame tra l’autore, l’editore e le aziende che forniscono corsi e certificazioni.

Nessun commento:

Posta un commento